Główny Bezpieczeństwo Firma Microsoft przypadkowo ujawniła 250 milionów rekordów obsługi klienta online. Oto, co powinieneś wiedzieć

Firma Microsoft przypadkowo ujawniła 250 milionów rekordów obsługi klienta online. Oto, co powinieneś wiedzieć

Twój Horoskop Na Jutro

Microsoft w środę ujawnił, że 29 grudnia badacz bezpieczeństwa powiadomił firmę o ogromnym błędzie bazy danych, który naraził 250 milionów rekordów klientów na atak. Microsoft opublikował post na blogu twierdzi, że luka jest wynikiem „błędnej konfiguracji wewnętrznej bazy danych obsługi klienta używanej do analizy przypadków pomocy technicznej firmy Microsoft”, chociaż twierdzi, że nie znalazł żadnych dowodów na to, że informacje zostały naruszone.

Firma wdrożyła poprawkę błędu bazy danych w ciągu dwóch dni po powiadomieniu i twierdzi, że uważa, że ​​nie wpłynęło to na żadne informacje o klientach. Mimo to firma Microsoft zaczęła powiadamiać klientów, których informacje znajdują się w bazie danych, aby byli świadomi, że ich dane mogły zostać naruszone.

Czy Nash Grier pali trawkę?

W większości przypadków Microsoft twierdzi, że informacje umożliwiające identyfikację użytkownika zostały usunięte z bazy danych, która została wykorzystana do analizy przypadków pomocy technicznej. Jednak w niektórych przypadkach mogły zostać uwzględnione adresy e-mail lub inne dane osobowe.

Ponieważ baza danych zawierała informacje o przypadkach pomocy technicznej, naruszenie może potencjalnie ułatwić oszustowi podszywanie się pod personel obsługi klienta firmy Microsoft i próbę uzyskania dostępu do konta, komputera lub danych klienta. Tego typu oszustwa nie są rzadkością, ale rzadko atakujący ma rzeczywiste informacje o kliencie, które mogą wykorzystać jako punkt wyjścia.

Microsoft twierdzi, że błędna konfiguracja wystąpiła, gdy reguły bezpieczeństwa dla bazy danych zostały zaktualizowane 5 grudnia, powodując ujawnienie rekordów. Chociaż firma nie wierzy, że jakiekolwiek informacje o klientach zostały naruszone, dane były ujawniane przez 24 dni, co prowadziło do możliwości, że można było uzyskać do nich dostęp. Firma zwróciła uwagę, że tego typu błąd jest zbyt powszechny i ​​zachęca klientów do oceny własnej konfiguracji systemu.

Błędy w konfiguracji są niestety częstym błędem w branży. Mamy rozwiązania, które pomogą zapobiec tego rodzaju błędom, ale niestety nie zostały one włączone dla tej bazy danych. Jak się dowiedzieliśmy, dobrze jest okresowo przeglądać własne konfiguracje i upewnić się, że korzystasz ze wszystkich dostępnych zabezpieczeń.

Peter Gunz wartość netto 2015

Ze strony Microsoftu firma poinformowała, że ​​wdraża zmiany, które mają zapobiec tego typu lukom w przyszłości. Zmiany te obejmują ocenę i audyt „ustalonych reguł bezpieczeństwa sieci dla zasobów wewnętrznych” firmy, a także wdrażanie mechanizmów zaprojektowanych do wykrywania błędnych konfiguracji reguł bezpieczeństwa i powiadamiania zespołów ds. bezpieczeństwa o ich wykryciu. Ponadto firma wprowadza zmiany w sposobie redagowania danych osobowych dla tego typu bazy danych, aby zapobiec niezamierzonemu ujawnieniu.

Jeśli jesteś klientem pomocy technicznej firmy Microsoft, prawdopodobnie zastanawiasz się, czy powinieneś coś zrobić. Microsoft twierdzi, że powiadamia klientów, którzy mogli mieć swoje informacje zawarte w bazie danych.

Niestety, Microsoft ma rację — istnieje zbyt wiele przykładów ujawniania informacji o klientach przez firmy, które nie mają odpowiedniej ochrony. W rzeczywistości ten incydent jest po raz drugi Microsoft zgłosił że informacje o klientach mogły zostać naruszone w zeszłym roku.

A Microsoft z pewnością nie jest jedyną firmą, która miała problem z zabezpieczeniem danych klientów. Facebook , Equifax i inne były celem głośnych ataków lub ujawnień. Oznacza to, że musisz zachować czujność i wziąć odpowiedzialność za własne informacje i ochronę prywatności.

Oznacza to, że warto również przypomnieć sobie, że jeśli otrzymasz wiadomość e-mail lub telefon, który po prostu wydaje się nieodpowiedni, nie podawaj żadnych danych osobowych ani firmowych. Zawsze korzystaj z oficjalnych kanałów, aby uzyskać wsparcie, a jeśli nie poprosiłeś o e-mail lub odpowiedź telefoniczną, załóż, że wszelka komunikacja powinna być traktowana z podejrzliwością.